自己防衛型ネットワーク

ワイヤレス LAN における Cisco NAC への対応

Hierarchical Navigation
Downloads

ソリューションの概要




ワイヤレス LAN における Cisco NAC への対応

この資料では、NAC フレームワークおよび NAC アプライアンス(Cisco Clean Access)によるシスコ ワイヤレス LAN(WLAN)での Cisco® Network Admission Control(NAC; ネットワーク アドミッション コントロール)サポートについて説明します。


課題

企業は、ウイルス、ワーム、スパイウェアなどのセキュリティ上の脅威からネットワークを保護する必要があります。これらのセキュリティ上の脅威は、業務を中断させ、ダウンタイムや頻繁なパッチ適用の原因となります。ネットワークにアクセスを試みるすべての有線および無線デバイスが、企業のセキュリティ ポリシーに適合していることを保証するには、エンドポイントの確認と制御が必要です。感染しているエンドポイントや脆弱性のあるエンドポイントを自動的に検知し、これらのデバイスを隔離したうえで修復する必要があります。


ソリューション

NAC は、ネットワーク リソースにアクセスするすべての有線および無線エンドポイント デバイス(PC、ノート型パソコン、サーバ、PDA など)を、セキュリティ上の脅威から適切に保護することを目標に設計されています。NAC を使用すると、ネットワークに接続するすべてのデバイスを解析して制御できます。すべてのエンドポイント デバイスが組織のセキュリティ ポリシーに適合し、適切な最新のセキュリティ保護を実行していることが保証されるので、エンドポイント デバイスが感染源やネットワーク脆弱化の原因になる可能性が大幅に削減されます。

NAC は、シスコシステムズが主導する業界イニシアティブを通じて開発されたテクノロジーおよびソリューションの集合です。NAC はネットワーク インフラストラクチャを使用して、ネットワークのコンピューティング リソースにアクセスを試みるすべてのデバイスをセキュリティ ポリシーに適合させ、それによってウイルス、ワーム、スパイウェアなど、セキュリティ上の新たな脅威による被害の拡大を防止します。NAC を使用する場合、ポリシーに適合した信頼できるエンドポイント デバイスだけにネットワーク アクセスを許可し、適合しないデバイスについてはアクセスを制限できます。NAC は、セキュリティ上の脅威に対するネットワークの識別、防止、適応能力を強化することを目的としたシスコ自己防衛型ネットワーク構想の一部分です。

シスコでは、アプライアンス ベースおよびアーキテクチャ ベースの NAC アプローチを用意しています。簡単なセキュリティ ポリシー要件しか必要としない組織から、複数のセキュリティ製品によるデスクトップ管理ソリューションとの連携が要求される複雑なセキュリティ ポリシー要件のある組織まで、あらゆる組織の機能上および運用上のニーズに対応できます。

Cisco Clean Access 製品ラインをベースとする NAC アプライアンスは、エンドポイント査定、ポリシー管理、および感染修復サービスを完備した、迅速な導入が可能です。NAC アプライアンスはターンキー方式、完全独立性を特色とする NAC 製品であり、オールインワン型のバンドル ソリューションです。

NAC フレームワークは、シスコのネットワーク インフラストラクチャとサードパーティ製ソリューションを使用してネットワーク アドミッション制御の問題を解決する、マルチベンダー システムによるアーキテクチャ アプローチです。インテリジェントなネットワーク インフラストラクチャに、60 社以上の主要ベンダーによるアンチウイルスなどのセキュリティ ソフトウェアおよび管理ソフトウェア ソリューションを統合しています。

ワイヤレス LAN における Cisco NAC への対応

ワイヤレス LAN(WLAN)についても、ウイルス、ワーム、スパイウェアなどのセキュリティ上の脅威からの保護が必要です。NAC アプライアンスおよび NAC フレームワークは、WLAN クライアントがネットワークにアクセスを試みる時点で、デバイスを強制的にセキュリティ ポリシーに適合させることで、セキュリティ上の脅威から WLAN を保護します。これらのソリューションによって不適合の WLAN クライアントを隔離し、感染修復サービスを提供して、適合性を確保します。これらのソリューションはいずれも、 Cisco Unified Wireless Network と完全に相互運用可能です。

NAC アプライアンス(Cisco Clean Access)
Cisco Clean Access 製品ラインをベースとする NAC アプライアンスは、ネットワークへの接続に先立って、ネットワーク管理者が有線および無線ユーザとそのマシンを認証、許可、評価、感染修復するための、エンドツーエンドのネットワーク登録および実施ソリューションです。NAC アプライアンスは、Cisco Aironet® およびシスコ互換クライアント デバイスを含む任意の 802.11 無線ユーザ デバイスに、ポスチャ査定および感染修復を適用できます。

NAC アプライアンスは、WLAN をサポートする帯域内に導入する必要があります。帯域内へ導入することにより、認証、ポスチャ査定、および感染修復の処理前、処理中、処理後を通じて、すべてのユーザ トラフィックが NAC アプライアンス サーバを通過します。サーバは、プロトコル/ポートまたはサブネットに基づくトラフィック ポリシーの管理、共有またはユーザ単位の帯域幅に基づく帯域幅ポリシーの管理、時間ベースのセッションおよびハートビート制御により、認証済みおよび未認証のユーザ トラフィックを安全に管理します(図 1)。

図 1 帯域内モードでの NAC アプライアンス アーキテクチャ

図 1 帯域内モードでの NAC アプライアンス アーキテクチャ
※ 画像をクリックすると、大きく表示されます。popup_icon

無線ユーザは、どの Wi-Fi アクセス ポイント経由で接続する場合にも、NAC アプライアンスへの準拠が義務付けられます。次のワイヤレス製品が、NAC アプライアンスによってサポートされます。

  • 任意の 802.11 Wi-Fi アクセス ポイント:
    • 自律的なスタンドアロン構成または Wireless Domain Services(WDS)モードで導入された Cisco Aironet アクセス ポイント - Cisco Aironet 350、1100、1130AG、1200、1230AG、1240AG、および 1300 シリーズ アクセス ポイント
    • Cisco WLAN Controller(Cisco 2000、4100、4400、または Cisco Catalyst 6500 シリーズ Wireless Services Module [WiSM]、サービス統合型ルータ用の Cisco Wireless LAN Controller Module)とともに導入された Cisco Aironet Lightweight アクセス ポイント(Cisco Aironet 1000、1130AG、1200 *、1230AG、1240AG、および 1500 シリーズ)。Cisco Aironet Lightweight アクセス ポイントは、WLAN コントローラでの Web ベース セットアップを通じて、Clean Access に準拠するように設定します。
  • 任意の 802.11 Wi-Fi クライアント デバイス:
    • Cisco Aironet クライアント デバイス
    • シスコ互換クライアント デバイス

NAC フレームワーク

NAC フレームワークは、シスコシステムズが主導する業界イニシアティブに基づくアーキテクチャ ベースの技術アプローチであり、ネットワーク インフラストラクチャおよびサードパーティ製ソフトウェアを使用して、すべてのエンドポイントを強制的にセキュリティ ポリシーに適合させます。シスコ製ネットワーク、アンチウイルス テクノロジー、およびその他のセキュリティおよび管理ソフトウェアを統合し、これらへの投資を活用します。

NAC フレームワークでは、管理対象のネットワークにエンドポイント デバイスが接続を試みる時点で、ルータ、スイッチなどのシスコ製ネットワーク デバイスがアクセス権限の有無を調べます。この判別は、アンチウイルス ソフトウェアや OS(オペレーティング システム)のパッチ レベルなど、エンドポイント デバイスのソフトウェアの状態に基づいて行うことができます。NAC フレームワークにより、不適合のデバイスについてはアクセスを拒否し、検疫エリアに入れるか、または制限付きでコンピューティング リソースへのアクセスを与えることができます。

NAC フレームワークは、WLAN クライアントがネットワークにアクセスする時点で、アクセス ポイントで WLAN に関するデバイスのセキュリティ ポリシーへの適合を強制します。WLAN アクセス ポイントは、VLAN 割り当てを通じて NAC ポリシーを実装します。RADIUS ** サーバが、自律アクセス ポイント(図 2)の場合はアクセス ポイント上、Lightweight アクセス ポイント(図 3)の場合は WLAN コントローラ上にある検疫または感染修復 VLAN/モビリティ グループに、不適合の WLAN クライアントを割り当てます。

図 2 自律モードで導入された Cisco Aironet アクセス ポイント

図 2 自律モードで導入された Cisco Aironet アクセス ポイント
※ 画像をクリックすると、大きく表示されます。popup_icon

* 802.11g(AIR-MP21G-x-K9)および/または第二世代 802.11a 無線(AIR-RM21A-x-K9 または AIR-RM22A-x-K9)を含む Cisco Aironet 1200 シリーズ アクセス ポイント
** Cisco Secure Access Control Server(ACS)4.0 以降が必要


図 3 Cisco Aironet Lightweight アクセス ポイント

図 3 Cisco Aironet Lightweight アクセス ポイント
※ 画像をクリックすると、大きく表示されます。popup_icon

次のワイヤレス製品が NAC フレームワークでサポートされます。
  • 自律的なスタンドアロン構成または WDS モードで導入された Cisco Aironet アクセス ポイント - Cisco IOS® ソフトウェア Release 12.3(7)JA 以降で稼働する Cisco Aironet 1100、1130AG、1200、1230AG、1240AG、および 1300 シリーズ アクセス ポイント
  • Cisco Unified Wireless Network ソフトウェア Release 3.1 以降で稼働する、Cisco Wireless LAN Controller(Cisco 2000、4100、4400 シリーズ、または Cisco Catalyst 6500 シリーズ WiSM、サービス統合型ルータ用の Cisco Wireless LAN Controller Module)とともに配置された Cisco Aironet Lightweight アクセス ポイント(Cisco Aironet 1000、1130AG、1200 ***、1230AG、1240AG、および 1500 シリーズ)
  • WDS デバイスとして配置され、Cisco IOS ソフトウェア Release 1.4.1 以降で稼働する Cisco Catalyst® 6500 シリーズ WLAN サービス モジュール(WLSM)
  • NAC をサポートする IEEE 802.1X サプリカントを備えた、任意の 802.11 Wi-Fi クライアント デバイス(注:シスコが提供するサプリカントは、イーサネット アダプタ用のみです。WLAN アダプタ用は提供されていません)
    • Funk Odyssey 製のサードパーティ NAC サプリカントを備えた Cisco Aironet クライアント デバイス、または Meeting House AEGIS クライアント
    • Funk Odyssey などのサードパーティ NAC サプリカント プロバイダ製の Wi-Fi クライアント デバイス、または Meeting House AEGIS クライアント
    • バージョン 4.0 以降で稼働する、シスコ互換クライアント デバイス(シスコ互換クライアント デバイスのバージョン 4.0 には、必要な NAC サプリカントが含まれています)

まとめ

ウイルスおよびワームの侵入により業務が中断され、ダウンタイムや頻繁なパッチ適用を余儀なくされる状況が続いています。NAC は、脆弱性のあるホストが通常どおりにネットワークにアクセスできないようにすることで、このようなリスクを軽減します。NAC により、全社的にすべてのホストが最新のアンチウイルス、セキュリティ ソフトウェア、および OS パッチ ポリシーに適合していることを確認したうえで、通常どおりのネットワーク アクセスを許可することができます。脆弱性のあるホストや不適合のホストについては、隔離して制限付きネットワーク アクセスを与え、パッチを適用し保護対策を講じることで、ワームやウイルスのターゲットまたは感染源にならないようにします。

NAC は、ウイルス、ワーム、スパイウェアといったセキュリティ上の新たな脅威による被害を抑えるための手段として有益です。適合性のある承認済みのユーザに限定してネットワークへのアクセスを許可したい、またはネットワーク環境内ですべてのエンドポイント アクセスを監査およびモニタする必要がある組織に、NAC は利点をもたらします。NAC はあらゆる企業や組織に利点をもたらしますが、特に、受託業者や取引先のシステムも含めて、デスクトップおよびサーバの適合性を管理するのが難しい企業に利点があります。これと同じ理由から、小規模な組織にも NAC が役立ちます。金融、医療、官庁、製造など、あらゆる業種で NAC を活用できます。WLAN も含めて、ホストがネットワークへの接続に使用するすべてのアクセス方式を網羅した NAC は、あらゆるネットワークに対応可能です。

*** 802.11g(AIR-MP21G-x-K9)および/または第二世代 802.11a 無線(AIR-RM21A-x-K9 または AIR-RM22A-x-K9)を含む Cisco Aironet 1200 シリーズ アクセス ポイント


その他の情報

詳細については、シスコ代理店までお問い合わせいただくか、次の Web サイトでご確認ください。

Cisco NAC についての詳細は、次の URL を参照してください。
http://www.cisco.com/jp/go/nac

Cisco Aironet 製品についての詳細は、次の URL を参照してください。
http://www.cisco.com/jp/product/hs/wireless

Cisco Unified Wireless Network についての詳細は、次の URL を参照してください。(英語)
http://www.cisco.com/go/unifiedwireless

お問い合わせ